文件上传攻击
稍有经验的开发者都知道对文件上传功能进行一些限制,防止用户上传网页木马文件,但是如果开发者没有使用有效的限制手段,往往不能很好的阻止攻击者上传木马文件,以下是常见的限制手段和绕过限制手段进行上传攻击的方式
- 文件上传漏洞—绕过js检测
客户端使用javascript对上传的文件做了限制,不允许上传以php结尾的文件。 在本实验中,可以通过Burp拦截服务器响应包信息,修改限制条件,让.php为后缀的文件能够顺利上传。
先创建一个包含一句话木马的php文件,选择上传
点击上传
提示上传格式为图片类型的格式,所以将php文件类型更改为jpg格式
文件上传成功(如果提示上传失败,则要在相应的文件夹下创建保存的文件夹)
使用抓包工具抓取数据
将文件后缀名改为php,并点击forward
文件上传成功
?
2.文件上传漏洞——绕过MIME类型检测
MIME多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。标准的文件上传组件中会自动上传文件的MIME类型,但是由于MIME类型是从客户端传递的,修改也不影响文件正常运行,因此通过BURP拦截和修改MIME类型可以轻易绕过此类检测。
常见的MIME类型:
超文本标记语言文本 .html text/html
普通文本 .txt text/plain
RTF文本 .rtf application/rtf
PDF文档 .pdf application/pdf
PNG图像 .png image/png
GIF图形 .gif image/gif
JPEG图形 .jpeg,.jpg image/jpeg
ASP .asp application/x-a
- 上传一句话木马 eval.php,提示文件类型不正确,请重新上传!
- 浏览器设置代理到BurpSuit,并开启拦截;
- 上传eval.php
- 在拦截的数据包中将application/octet-stream修改为image/jpeg;
文件上传成功
文件上传漏洞——绕过黑名单检测
绕过方式:.htaccess文件攻击修通过move_uploaded_file函数把自己写的.htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。 .htaccess文件用处:通过.htaccess文件调用php解释器去解析一个文件名中只要包含 “aa”这个字符串的任意文件,无论你文件名是什么样子,只要包含”aa”这个字符串,都可以被以php的方式来解析。
.htaccess文件内容:<FileMatch “aa”> SetHandler application/x-httpd-php</ FileMatch >
?
文件上传漏洞——绕过黑名单检测
黑名单检测:一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件扩展名,如:php、asp、aspx等;
绕过方式:解析绕过
- Apache解析漏洞
一个文件名为test. php. aaa. bbb. ccc的文件,Apache会从ccc的位置往 php的位置开始尝试解析,如果ccc不属于Apache能解析的后缀名,那么 Apache就会尝试去解析bbb,这样一直往前尝试,直到遇到一个能解析的扩展名为止。
存在漏洞的版本:apache 2.0-2.2 有可能存在
创建文件名为: phpinfo.php.aaa.ccc 的文件 放到phpstudy 的 www目录下
2)IIS解析漏洞
#1 IIS6.0
@1: 新建一文件名字为:任意文件名.asp;任意文件名.jpg 此文件会当成脚本运行
- asa;1.jpg,2.cdx;2.txt)
@2: 新建一个文件夹,名字为任意文件名.asp ;那么在这个文件夹里的内容全部会被当场脚本取运行。
@3:服务器配置错误(put协议)
@1: 新建一文件名字为:任意文件名.asp;任意文件名.jpg 此文件会当成脚本运行(如:aa.asa;1.jpg)
?
物理机访问虚拟机地址
?
@2: 新建一个文件夹,名字为任意文件名.asp ; 那么在这个文件夹里的内容全部会被当场脚本取运行。
?
创建文件并写入asp语言
物理机访问
?
@3:服务器配置错误(put协议) 抓取请求包发送到repeater模块修改为PUT协议写入文件
?
利用MOVE协议把上一步的文件tys.txt 移动重命名为567.asp, 移动时增加 Destination:http://192.168.3.95/567.asp 内容为移动后内容
访问
IIS解析漏洞
#2 IIS7.0,7.5
正常路径:uploads/1.jpg 把php文件修改后缀为jpg进行上传
黑客思路:uploads/1.jpg/任意文件名.php 访问方式
这个文件就会被当成脚本去执行。
注:IIS7.0/7.5与nging解析让绕过相同,当前版本由于过低,无法演示IIS7.0/7.5,所以这里用nginx代替
Nginx解析漏洞
#1
正常路径:uploads/1.jpg
黑客思路:uploads/1.jpg/任意文件名.php
Nginx解析漏洞
#2 对低版本的Nginx可以在任意文件名后面添加%00.php进行解 析攻击。
? Nginx 0. 5. * Nginx 0. 6. *
?Nginx 0. 7 <= 0. 7. 65 Nginx 0. 8 <= 0. 8. 37
正常路径:uploads/1.jpg
黑客思路:uploads/1.jpg%00.php 当做正常脚本执行
#3
? Nginx 0.8. 41 ?1.4. 3 ; 1. 5 <= 1. 5. 7:
?在linux系统里,以上Nginx容器的版本下
正常路径:uploads/1.jpg
黑客思路:uploads/1.jpg%20%00.php 当做正常脚本执行
黑名单检测:一般有个专门的 blacklist 文件,里面会包
含常见的危险脚本文件扩展名,如:php、asp、aspx;
绕过方式:其他方式
某些情况下管理员错误的服务器配置会导致.html ; .xml等静态页面 后缀的文件也可被执行。
多文件上传时,有时服务器只对第一个上传的文件进行了检查,这 时通过上传多个文件并将恶意文件掺杂进其中也可绕过服务器的过 滤。
文件上传漏洞——绕过文件内容检测
上传文件内容检测:对上传的文件内容做检测,是否包含恶意代码
绕过方式:图片码绕过
把代码文件和图片文件进行二进制编码合并形成新的图片,进行上传. 注意2.php代码最前面需要有一个空格
cmd下执行:建议使用小图片
copy /b 1.jpg+2.php=3.jpg
生成图片后修改为3.jpg.php进行上传
将创建的1.png和1.php文件合成一个新的图片
(1)上传正常的php文件,无法上传;
(2)将合并的文件进行上传;
(3)文件,上传成功;
上传文件
文件上传攻击防护
1.上传文件的存储目录不给执行权限
2.隐藏上传文件访问路径
3.文件后缀白名单,注意0x00截断攻击(PHP更新到最新版本)
4.不能有本地文件包含漏洞(include dama. jpg)
5.及时更新web应用软件避免解析漏洞攻击